Protección de datos: quedan (solo) cuatro meses para ponerse al día
Un repaso a los deberes que tienen las empresas que quieran cumplir con el Reglamento europeo de Protección de Datos
Quedan (solo) cuatro meses para la aplicación directa del Reglamento europeo de Protección de Datos, el 25 de mayo de 2018. Es decir, para que se aplique su régimen sancionador (porque ‘en vigor’ está desde el 25 de mayo de 2016).
Como los malos estudiantes, la mayoría de empresas españolas (y no digo nada de la Administración) no han hecho los deberes y ahora se acuerdan de Santa Bárbara, o de Santo Dato, cuando ya se escuchan los primeros truenos.
El próximo domingo, 28 de enero, se conmemora el Día Europeo de Protección de Datos y es también Santo Tomás de Aquino, patrón de los Estudiantes. Por eso, este año queremos dedicar este día a esos malos estudiantes del RGPD.
A continuación se exponen las tareas mínimas que hay que realizar para llegar al día del ‘examen’, al menos, dando la impresión de que se ha intentado cumplir las obligaciones esenciales del RGPD (aunque sea para aprobar por los pelos).
Dichas tareas están basadas, obviamente, en el propio RGPD y en las distintas guías y herramientas, que ha ido publicando la Agencia Española de Protección de Datos, para facilitar el cumplimiento de aquél, especialmente por las PYMEs.
- Lista de Tareas
1. Identificar si la empresa está en un sector de riesgo
Para empezar, lo primero es descartar que la empresa esté en un sector de alto riesgo (por las categorías de los datos personales y los tipos de tratamientos):
1. Sanidad
2. Solvencia patrimonial y crédito
3. Generación y uso de perfiles
4. Actividades políticas, sindicales o religiosas
5. Servicios de telecomunicaciones
6. Seguros
7. Entidades bancarias y financieras
8. Actividades de servicios sociales
9. Publicidad
10. Videovigilancia masiva
2. Hacer un ‘inventario’ de todos los datos que maneja la empresa
Revisar todas las bases de datos y ficheros y distinguir los datos personales (los asociados a una persona física, identificada o identificable) de los que no lo son.
3. Hacer una clasificación de esos datos por categorías
Distinguir los datos personales normales de las categorías especiales de datos personales (datos personales especialmente sensibles y, por tanto, protegidos):
1. Datos que revelen origen étnico o racial
2. Datos de opiniones políticas
3. Datos de convicciones religiosas o filosóficas
4. Datos de afiliación sindical
5. Datos genéticos
6. Datos biométricos (que sirvan para identificar a alguien)
7. Datos de salud física o mental
8. Datos relativos a la vida sexual o a la orientación sexual
9. Datos relativos a condenas o infracciones penales
10. Geolocalización
4. Hacer una lista de todos los tratamientos de datos, según su finalidad
Hay que saber en qué tratamientos se utiliza cada uno de los datos personales y cuál es la finalidad de los mismos, para saber si son tratamientos de riesgo:
1. Hacer o analizar perfiles
2. Hacer publicidad y prospección comercial masiva a potenciales clientes
3. Explotación de redes públicas
4. Proveedor de servicios de internet
5. Gestión de asociados o miembros de partidos políticos
6. Gestión de asociados o miembros sindicatos
7. Gestión de asociados o miembros de iglesias o comunidades religiosas
8. Gestión de otras entidades políticas, sindicales, religiosas o filosóficas
9. Gestión, control sanitario o venta de medicamentos
10. Historial clínico o sanitario
5. Comprobar que se tiene consentimiento expreso y específico
Para poder no sólo tratar, sino incluso tener un dato personal, se debe tener el consentimiento expreso (no vale tácito) y específico (para cada uso) del titular.
6. Comprobar que se está amparado por un interés legítimo o interés general
En el caso de que no se tenga el consentimiento expreso y específico del titular, sólo se podrán tener y tratar los datos si existe un interés legítimo o base legal.
7. Comprobar que se ha informado a los titulares de los datos
El reglamento europeo aumenta el deber de información y de transparencia de los responsables de los tratamientos de datos hacia los titulares de dichos datos.
8. Garantizar el ejercicio de los derechos de los titulares sobre sus datos
El RGPD añade a los tradicionales derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación, oposición) los de portabilidad y limitación.
9. Adoptar medidas de seguridad y elaborar el documento de seguridad
Implantar diligentemente medidas de seguridad (organizativas y tecnológicas) adecuadas al riesgo del tratamiento y plasmarlas en un documento de seguridad.
10. Hacer una evaluación de riesgos de los tratamientos
Evaluar los riesgos para los derechos fundamentales (especialmente, el honor y la intimidad) en aquellos tratamientos y sectores en que existe un elevado riesgo.
Para nota: el Delegado de Protección de Datos y la Oficina del DPD
Aunque no todas las empresas (especialmente, las PYMEs) están obligadas a nombrar un Delegado de Protección de Datos, sin duda es conveniente poder contar con esa figura, que acompañe y supervise las tareas que hay que realizar.
En el caso de que no sea obligatorio ni posible (especialmente, para una PYME) contar con un Delegado de Protección de Datos en exclusiva, puede nombrarse un DPD en las asociaciones sectoriales, para asesorar a todos sus asociados.
En cualquier caso, es importante distinguir entre el Delegado de Protección de Datos y la Oficina del Delegado de Protección de Datos, porque, en realidad, el Delegado de Protección de Datos es el Jefe de la Oficina de Protección de Datos.
En este sentido, tanto la figura individual del Delegado de Protección de Datos como la Oficina de apoyo al Delegado de Protección de Datos, pueden estar en la empresa o la asociación sectorial o prestarse externamente, como un servicio.
Quedan solo cuatro meses y hay muchos deberes que hacer. Es hora de ponerse las pilas e intentar recuperar el tiempo perdido (dos años, para ser exactos). Así que, a Santo Tomás y a Santo Dato rogando y con el mazo dando.
